Aus gegebenem Anlass ein kleiner Exkurs in die Welt des Datenschutzes.

Ich war heute in der Radiologie, um mittels MRT mein Sprunggelenk untersuchen zu lassen. Am Ende einer solchen Sitzung ist es ja durchaus üblich, eine CD mit den gemachten Bildern zu bekommen.

Die erste Unerquicklichkeit heute war, dass ich die CD zu Hause nicht am Rechner einlesen konnte; gut, kann passieren, manchmal liegt das am Laufwerk, dass eine selbstgebrannte CD nicht gelesen werden kann – aber sie funktionierte auch auf einem anderen probierten Rechner nicht. Das Problem entsteht übrigens oft, wenn die CD am Ende der Brennsitzung nicht ordentlich finalisiert wird.

Erfolg hatte ich dann damit, die CD in die Playstation 3 einzulegen, da hier zumindest einige Thumbnails (das sind die kleinen Vorschaubilder im Browser) angezeigt werden konnten. Die sahen aber merkwürdigerweise so gar nicht nach einem Fußgelenk aus, sondern vielmehr nach einem Gehirn.

Ab da war meine Neugierde geweckt. Zum Glück gibt es Programme, mit denen sich nicht korrekt gebrannte CDs dennoch auslesen lassen. Mit einem solchen konnte ich mir dann die CD auch genauer anschauen, und habe dort Wunderliches drauf entdeckt. Zuerst einmal schien das ganze eine Multi-Session-CD zu sein, sprich eine CD, die mehrfach mit Daten bebrannt wurde – 2 mal, in meinem Fall. Mehrfaches Brennen geschieht entweder bei normal beschreibbaren CDs, an welche nach dem ersten Schreibvorgang weitere Daten angehängt werden, oder bei wiederbeschreibbaren CDs, bei denen zwischen den einzelnen Sessions auch Daten gelöscht werden können.

Mit dem genutzten Programm konnte ich die Daten der “aktuelle” (sprich, letzten) Sitzung der CD wiederherstellen und mir anschauen. Darin enthalten war eine Menge von Binärdaten (die Bilddaten enthielten) und ein Programm, um sich ebenjene Bilder anzuschauen. Hier zeigte sich dann schon, dass ich definitiv nicht die richtigen Daten hatte – ich konnte mir nämlich wunderbar die Bilder eines Hirnscans anschauen. Und nicht nur das: in den Daten enthalten waren auch der Name und das Geburtsdatum der Person, zu welcher die Bilder gehören.

Mit dem genutzten Programm war es zudem möglich, auch die Daten der einzelnen Sitzungen zu extrahieren. Eine genaue Untersuchung der beiden Sitzungen auf meiner CD hat gezeigt, dass die erste, ursprüngliche Sitzung die Hirnscans enthielt und die zweite Sitzung meine Bilder enthalten sollte, aber bis auf meinen Namen identisch zur ersten Sitzung war. Müsste ich den Tathergang rekonstruieren, würde ich folgendes vermuten:

Die Arzthelferin wollte eigentlich meine Bilder auf die CD brennen, hat dabei aber die falschen Daten erwischt. Nach dem Brennvorgang wurde beim Überprüfen gemerkt, dass sich die falschen Daten auf der CD befanden, und die Arzthelferin hat daraufhin versucht, in einer zweiten Sitzung meine Daten über die bereits bestehenden zu schreiben. Das schlug allerdings fehl, ohne dass es bemerkt und ohne dass die zweite Sitzung korrekt beendet (d.h. die CD finalisiert) wurde. Das Ergebnis war eine CD, die a) auf normalem Weg nicht lesbar war und b) zudem noch eigentlich vertrauliche Daten über eine mir fremde Person enthielt.

An der Stelle wird klar, wie wichtig es ist, mit den genutzten IT-Mitteln nicht nur umgehen zu können, sondern ihre Funktionsweise auch wenigstens in Teilen verstanden zu haben. Insbesondere wenn es um Datenschutz geht, sollten eigentlich alle möglichen Sicherheitsvorkehrungen getroffen werden; dass hier derart unbedarft mit sensiblen Patientendaten umgegangen wurde (wenn auch sicherlich unbeabsichtigt), ist mindestens bedenklich. Gut, MRT-Scans sind keine hochkritischen Daten, aber das ein oder andere hätte man schon damit anstellen können.

Das ganze kann man zudem auch noch weiterdenken; hätte der zweite Brennvorgang wie vorgesehen geklappt und wäre die CD finalisiert worden, hätte ich sie lesen können, ohne zu merken, dass die CD 2 mal bebrannt wurde. Unter Umständen hätten sich die Daten des ersten Brennvorganges aber dennoch auslesen lassen – und ich würde wetten, dass wenigstens einige CDs im Umlauf sind, die auf den ersten Blick nur die gewünschten Daten, aber über Umwege doch noch einiges mehr an sensiblen Daten enthalten (gleiches gilt übrigens auch für USB-Sticks – auch hier ist “gelöscht im File Browser” nicht unbedingt gleichzusetzen mit “echt gelöscht auf der Hardware).

Konsequenterweise müsste man jedes Medium, welches einmal sensible Daten enthielt, vor der Wiederverwendung sicher löschen (das geht mit USB-Sticks), oder, wenn das nicht funktioniert (geht es bei CDs?) nicht weiterverwenden, sondern ordnungsgemäß vernichten (was ich auch mit der CD tun werde). Mich würde interessieren, in wie vielen Firmen diese Praxis so tatsächlich umgesetzt wird…

Kommentare (10)

  1. #1 rolak
    November 29, 2013

    in wie vielen Firmen

    Erfreulich viele, erschreckend wenige. Das liegt aber nicht nur an den Neuland-Medien, sondern scheint eine grundlegende Achtlosigkeit zu sein – als ich in grauer Vorzeit mit den wg eines Schulterproblemes erstellten Röntgenaufnahmen wieder beim Orthopäden angekommen war, lautete sein erster Kommentar: Ja mit nem Sattelgelenk in der Schulter hätte ich auch Probleme. Waren Aufnahmen eines Knies.

    geht es bei CDs?

    CD-RW: Ja, CD-R: Nur bedingt.

    Um die Grabbelkiste für Notoperationen am offenen Rechner (bei Bekannten etc) nachzufüllen zuiehe ich mir ab+zu einen Rechner vom Sperrmüll. Dreimal in diesem Jahrtausend schon mit kompletten Personen- bzw Firmendaten auf der HD, gab jeweils reichlich belämmerte Gesichter bei der Eröffnung 😉

  2. #2 Stefan W.
    https://demystifikation.wordpress.com/2013/11/29/ein-ungluck-kommt-selten-allein/
    November 29, 2013

    Man kann immer versuchen die CD mit Daten voll zu schreiben, die die Nenngröße belegen – bei CDs 700 oder 800 MB.

  3. #3 MX
    November 29, 2013

    Jetzt wissen wir, was auf der CD war. Aber was war auf dem Gehirn?

  4. #4 Sepp
    November 29, 2013

    Ich hatte so etwas ähnliches mal mit Bewerbungsunterlagen. Diese wurden mir zurückgeschickt und ich wunderte mich über das beeindruckende Gewicht. War ich mir doch sicher, dass ich gar nicht so viel weggeschickt hatte. Zusätzlich zu meinen Unterlagen gab es dann noch einen ganzen Batzen von anderen Bewerbern. Es ist mir noch heute unbegreiflich, wie das bei so sensiblen Daten passieren kann. Vollständige Anschreiben, Lebensläufe, Abschluss- und Arbeitszeugnisse. Einfach alles.

    Darauf habe ich erstmal alle Betroffenen einzeln informiert und dies dem betreffenden Unternehmen auch mitgeteilt. Das würde ich an deiner Stelle auch tun, denn ich würde schon wissen wollen, dass meine Daten irgendwelche “Umwege” gemacht haben und wie mit den Daten umgegangen wird. Auf das Krankenhaus würde ich mich da nicht verlassen, die “vergessen” den Vorfall wahrscheinlich sonst.

  5. #5 Babo Webbaer
    November 30, 2013

    Konsequenterweise müsste man jedes Medium, welches einmal sensible Daten enthielt, vor der Wiederverwendung sicher löschen (das geht mit USB-Sticks), oder, wenn das nicht funktioniert (geht es bei CDs?) nicht weiterverwenden, sondern ordnungsgemäß vernichten (was ich auch mit der CD tun werde).

    Cooler wäre es womöglich die physikalischen Probleme der genannten Art dadurch zu umgehen, dass dem Kunden, oder Patienten, im Abgang eine Web-Adresse und ein Sicherheitskontext übergeben wird.

    Auch im Sinne von ‘Divide et impera’.

    MFG
    Dr. W

  6. #6 hege
    Dezember 1, 2013

    Zitat: “(gleiches gilt übrigens auch für USB-Sticks – auch hier ist “gelöscht im File Browser” nicht unbedingt gleichzusetzen mit “echt gelöscht auf der Hardware).”
    Das bringt mich zu einer Frage: Ich meine mal gelesen zu haben, daß es bei Flash-Speichern/SSDs, eben zB USB-Sticks, nicht mehr möglich sei, einzelne Dateien gezielt zu löschen. Es werde eben nur der Speicherplatz freigegeben, aber man könne Daten nicht mehr *gezielt* überschreiben. Damit wäre auch der Einsatz von Eraser-Programmen nicht mehr möglich. Unter Datenschutzaspekten wäre das natürlich kritisch (SSD-Laufwerke, etc).
    => Stimmt das?

    • #7 Marcus Frenkel
      Dezember 8, 2013

      Über die Details bzgl. des Überschreibens gezielter Speicherbereiche weiß ich nicht Bescheid, aber es lässt sich meines Wissens auf jeden Fall der komplette Stick mit einem zufälligen Bitmuster (oder 0en) überschreiben, womit dann auch alle Daten gelöscht wären.

  7. #8 rolak
    Dezember 9, 2013

    auf jeden Fall der komplette Stick

    Für den Hausgebrauch praktisch nur mit einem Hämmerchen, MarcusProblem & Lösungsansätze.

  8. #9 Marcus Frenkel
    Dezember 9, 2013

    Ah, gut zu wissen. Ich hatte nur dieses Secure Erase im Kopf – da scheint es das bei älteren Flash-Speichern gar nicht zu geben.

  9. #10 Queue
    August 6, 2014

    Hallo,

    einige Sache kann ich hier beitragen:
    – Dateien lassen sich auf SSDs nicht mit hinreichender Sicherheit löschen. Auch wenn jedes Bit der SSD gelöscht wird, denn SSDs habe Controller eingebaut, die Speicherzellen als ungültig markieren. Etwas, wenn die Qualität der Speicherzellen abnimmt. So kann der Fall auftreten, dass “gelöschte” Dateien markiert werden und mit Betriebssystemmittel nicht gelöscht werden können.
    Abhilfe schafft hier Verschlüsselung. Eine Löschung entspricht dem Verwerfen der Schlüssel.

    https://www.heise.de/newsticker/meldung/Viele-SSDs-und-USB-Sticks-lassen-sich-nicht-sicher-loeschen-1195973.html

    Wenn ihr solche Vorfälle selbst erlebt, dann finde ich, solltet ihr die betroffenen Personen informieren (wie schon geschrieben) und euch auch irgendwie Beschweren oder notfalls Anzeige erstatten. Manchmal ist man persönlich Befangen, um irgendwie einzugreifen, aber wenn nicht, bin ich überzeugt, dass das persönliche Beschweren eine geeignete Methode ist, sinnvollen Druck zu erzeugen.
    Das Beschweren soll aufzeigen, dass es einem nicht egal ist, was mit den Daten passiert und soll eventuell dafür sorgen, dass auch in Unternehmen oder anderen Einrichtungen Konsequenzen umgesetzt werden.
    Schlussendlich soll die Gesellschaft dafür sensibilisiert werden, mit Daten nicht zu leichtfertig umzugehen.

    Queue